Koulutusteemat on tarkistettava vähintään kerran vuodessa, jotta voidaan varmistaa, että koulutus on ajan tasalla ja että siinä käsitellään organisaatioon kohdistuvia nykyisiä uhkia.

Tarkistukseen on sisällyttävä mm:

• uudet tai esiin nousevat kyberuhat
• viimeaikaiset korkean profiilin tietomurrot
• uudet turvallisuuskäytännöt tai -standardit
• tietoturvatietoisuuden testauksen tai kampanjoiden tulokset

Arvioinnin perusteella koulutusohjelma on päivitettävä ja muutoksista on tiedotettava henkilöstölle.

Organisaatio parantaa tietoturvakoulutustaan kehittämällä roolikohtaisia moduuleja, tarjoamalla tietotekniikkahenkilöstölle turvallisen järjestelmänhallinnan kursseja, tarjoamalla OWASP Top 10 -haavoittuvuuskoulutusta kehittäjille ja tarjoamalla kehittynyttä tietoisuutta sosiaalisesta manipuloinnista korkean riskin tehtävissä toimiville.

Organisaatiolla tulee luoda menettely henkilöstöään koskevaa koulutusta ja ohjausta varten. Näihin menettelyiden tulisi sisältää ja kattaa ainakin seuraavat aiheet:

• Tietoturvapolitiikka.
• Turvallisuuspoikkeamien raportointi.
• Reagointi haittaohjelmahäiriöihin.
• Käyttäjätiliä ja kirjautumistietoja koskevat käytännöt (esim. salasanakäytännöt).
• Tietoturvasäännösten noudattaminen.
• Salassapitosopimusten (NDA) käyttö arkaluonteisia tietoja jaettaessa.
• Ulkoisten IT-palveluiden käyttö.

Koulutusohjelmassa olisi yksilöitävä tietyt työntekijäryhmät, jotka tarvitsevat tätä koulutusta, kuten järjestelmänvalvojat, tuotantohenkilöstö sekä henkilöt, joilla on pääsy asiakasverkkoihin.

Vastuullisen johdon on hyväksyttävä koulutusmenettely. Koulutus- ja tietoisuusohjelmat on toteutettava säännöllisesti ja erityisten tapahtumien yhteydessä. Varmista, että työntekijät tietävät, keneen ottaa yhteyttä tietoturva asioissa.

Koko organisaation ohjauksessa toimivan henkilöstön on oltava tietoisia:

• miten he voivat osaltaan lisätä tietoturvallisuuden hallintajärjestelmän vaikuttavuutta ja millaista hyötyä tietoturvallisuuden tason parantamisesta on
• seurauksista, joita tietoturvallisuuden hallintajärjestelmää koskevien vaatimusten noudattamatta jättämisellä voi ollaminkä osan henkilöstöstä työ vaikuttaa tietoturvan tasoon

Lisäksi johto on määrittänyt tavat, joilla henkilöstö pidetään tietoisina omaan työrooliinsa liittyvistä tietoturvaohjeista.

Relevant persons are sufficiently familiar with the continuity plans related to their own activities and their more detailed contents, and are able to act accordingly.

Henkilöstön tietoturvatietoisuuden varmistaminen on tärkeä osa haittaohjelmilta suojautumista. Tämän vuoksi henkilöstölle tiedotetaan säännöllisesti uudenlaisista haittaohjelmista, joiden uhka heihin voi kohdistua.